Alguém conseguiu de fato bloquear o msn?

O layer 7 nao ajuda nisso?

[silmar]

uma distro estou usando o red hat 7.3 e na outra 9.0

[perdiga]

galera não é dificil não bloquear o msn ..

basta uma simples combinação de iptables + squid e tudo resolvido...


no firewall usa-se desta maneira.

$IPTABLES -A FORWARD -s 192.168.100.0/24 -p tcp --dport 1863 -j DROP

e no squid..

acl msnmessenger url_regex -i gateway.dll
acl MSN req_mime_type -i ^application/x-msn-messenger$
acl bloq_msn_ext req_mime_type ^application/x-msnmsgrp2p$

depois basta negar antes de liberar qualquer coisa

http_access deny msnmessenger
http_access deny MSN
http_access deny bloq_msn_ext

com isso duvido que alguem acesse o msn...

mas tem um porem galera o msn ele bloqueia, agora o maldito do windows messenger não então tomen cuidado derrepente seja o windows messenger que esta conectando e não o msn....

abraço pessoal espero ter ajudado..

[silmar]

galera não é dificil não bloquear o msn ..

basta uma simples combinação de iptables + squid e tudo resolvido...


no firewall usa-se desta maneira.

$IPTABLES -A FORWARD -s 192.168.100.0/24 -p tcp --dport 1863 -j DROP

e no squid..

acl msnmessenger url_regex -i gateway.dll
acl MSN req_mime_type -i ^application/x-msn-messenger$
acl bloq_msn_ext req_mime_type ^application/x-msnmsgrp2p$

depois basta negar antes de liberar qualquer coisa

http_access deny msnmessenger
http_access deny MSN
http_access deny bloq_msn_ext

com isso duvido que alguem acesse o msn...

mas tem um porem galera o msn ele bloqueia, agora o maldito do windows messenger não então tomen cuidado derrepente seja o windows messenger que esta conectando e não o msn....

abraço pessoal espero ter ajudado..

OK... mas e aee e no msn eu vou ter que colocar tambem que é pra ele usar o proxy e não o acesso normal.. isso ?
Se for assim não adianta ... eu tentei instalar no Red Hat 7.3 0 layer mas não da ... estou fazendo varias tentativas sem usar o proxy

[perdiga]

não não, não precisa fazer nada no msn, simplesmente para quem estiver bloqueado ele num vai funcionar não....

[silmar]

sim mas ah outra duvida então terei que redirecionar a porta do squid no iptables ..

ou nada disso ...

pois o que vejo em minha mente é que pra funcar coisas do squid sem mexer nas aplicações nos usuarios teremos que redirecionar a porta .. no iptables .. mas aee outras aplicações que não suporta isso.
em duas maquinas

[perdiga]

voce não disse que usa proxy transparente... então a porta 80 ja esta sendo redirecionada para a porta do squid correto...

faz o teste ai amigo e depois posta ai para ver se funcionou..

[silmar]

Desculpa amigo eu não estou usando o proxy trans.. tanto que postei uma parte do meu firewall como esta .. sacou ..


e desse mesmo jeito funca num fedora core 4 mas na maquina em produção que é esse sevidor que estou fazendo a aplicação não esta funcando.

sacou

[Visitante]

realmente isso funcionou, porém o site do hotmail e da microsoft pararam de funcionar, então na minha situação eu tenho que barrar apenas o msn os sites do passport para autenticação do hotmail e o site da microsoft precisam funcionar. Ja estudei um pouco e percebi que se um desses sites ou algum ip que esses sites usam para serem acessados também podem ser usados pelo msn para se autenticaram e para se conectarem. e agora como faço pra liberar o site da microsoft e o do hotmail proibindo o msn de se conectar? :toim:

[flep]

Postei isso em outro topico, mas vou por aqui também:

Resultado: bloqueio do MSN Messenger e do site MSN para a rede toda, sem bloquear o acesso ao site do hotmail e ao da microsoft, e liberando o MSN Messenger para os IPs da"diretoria".

1) a rede toda passa pelo squid (proxy transparente)
2) tenho um arquivo chamado de "diretoria", onde estao os IPs dos micros que podem acessar todos os sites e o MSN atraves de uma acl no squid


# neste arquivo estao os IPs que podem acessar o MSN, um por linha
acl diretoria src "/etc/squid/diretoria"

# neste vc poe a rede, ex: 192.168.0.0
acl outros src "/etc/squid/outros"

#palavras não permitidas, onde tenho varios endereços de webMSN e a palavra messenger
acl negados_outros url_regex -i "/etc/squid/negados_outros"

Dai depois vc vai ter as regras bloqueando ao grupo "outros" os sites de "negados_outros" e liberando tudo ao grupo "diretoria"

lembrando que as partes de ACL é para os sites, precisa ter para que os espertinhos não consigam usar os webMessengers. Mas o que faz a mágica mesmo é o firewall:

### bloqueando MSN MESSENGER e ICQ efetivamente mas liberando para diretoria #####
#---------------------------------------------------------------------------------
for a in `cat /etc/squid/diretoria`; do
$IPT -A FORWARD -p tcp -s $a -d 65.54.239.0/24 -j ACCEPT
$IPT -A FORWARD -p tcp -s $a -d login.icq.com -j ACCEPT
done
$IPT -A FORWARD -p tcp -d login.icq.com -j DROP
$IPT -A FORWARD -p tcp -d 65.54.239.0/24 -j DROP

Saliento que de tempos em tempos é bom vc testar conectar no MSN de uma maquina que esteja fora da "diretoria", pois vai que o MSN muda o range de IP deles. Se conectar é so abrir o command e digitar "netstat -a" para ver qual o IP... mas uso esse bloqueio na rede 65.54.239.0 a tempos e nunca tive problema...

Espero que ajude.
[/b]

[cristianff]

Putz, nem lembro quem está querendo bloquear essa merda de msn.
Mas eu já enfrentei esse tipo de problema e depois de muito quebrar a cabeça, achei a solução e ela é bem simples.

No meu caso tenho as políticas INPUT e FORWARD com DROP.
Eu faço MASQUERADE apenas paras algumas portas, as principais, senão você escancara tudo.
As porta que eu faço MASQUERADE são as seguintes:
20,21,22,25,53,110,443,2083,2631,3456

Repare que nem a porta 80, nem a 1863 que o msn usa para conectar estão sendo "MASCARADAS". Então no firewall você já matou o msn. Deste jeito ele não conecta, você pode fazer o teste parando o squid e tentando fazer a conexão. Te garanto que não vai conectar.

Agora o proxima passo é o squid, quado o squid está rodando, o msn se conecta por ele. Se você monitorar o access.log do squid você vai ver que as máquinas estão se conectando.

Caro, basta você criar uma ACL negando a palavar "gateway.dll".
acl acesso_proibido url_regex -i src "/etc/squid/regras/acesso_proibido"

Então dentro do arquivo acesso_proibido você coloca a palavra "gateway.dll". Agora basta negar a ACL que você acabou de criar.

http_access deny acesso_proibido

Amigo, se você fizer esses passos, corto o meu saco se não funcionar.
kkkkkkkkkkkk

Então verifique as regras do teu firewall e crie essa ACL no squid que vai resolver o teu problema.

Abraços e qualquer coisa posta aí...

[Lincoln]

Putz, nem lembro quem está querendo bloquear essa merda de msn.
Mas eu já enfrentei esse tipo de problema e depois de muito quebrar a cabeça, achei a solução e ela é bem simples.

No meu caso tenho as políticas INPUT e FORWARD com DROP.
Eu faço MASQUERADE apenas paras algumas portas, as principais, senão você escancara tudo.
As porta que eu faço MASQUERADE são as seguintes:
20,21,22,25,53,110,443,2083,2631,3456

Repare que nem a porta 80, nem a 1863 que o msn usa para conectar estão sendo "MASCARADAS". Então no firewall você já matou o msn. Deste jeito ele não conecta, você pode fazer o teste parando o squid e tentando fazer a conexão. Te garanto que não vai conectar.

Agora o proxima passo é o squid, quado o squid está rodando, o msn se conecta por ele. Se você monitorar o access.log do squid você vai ver que as máquinas estão se conectando.

Caro, basta você criar uma ACL negando a palavar "gateway.dll".
acl acesso_proibido url_regex -i src "/etc/squid/regras/acesso_proibido"

Então dentro do arquivo acesso_proibido você coloca a palavra "gateway.dll". Agora basta negar a ACL que você acabou de criar.

http_access deny acesso_proibido

Amigo, se você fizer esses passos, corto o meu saco se não funcionar.
kkkkkkkkkkkk

Então verifique as regras do teu firewall e crie essa ACL no squid que vai resolver o teu problema.

Abraços e qualquer coisa posta aí...

Amigo sera que teria como colocar o conjunto de regras
do iptables que vc usou,
Gostaria de testar para ver se funciona aqui .
valew cara. :good:

[Lincoln]

Putz, nem lembro quem está querendo bloquear essa merda de msn.
Mas eu já enfrentei esse tipo de problema e depois de muito quebrar a cabeça, achei a solução e ela é bem simples.

No meu caso tenho as políticas INPUT e FORWARD com DROP.
Eu faço MASQUERADE apenas paras algumas portas, as principais, senão você escancara tudo.
As porta que eu faço MASQUERADE são as seguintes:
20,21,22,25,53,110,443,2083,2631,3456

Repare que nem a porta 80, nem a 1863 que o msn usa para conectar estão sendo "MASCARADAS". Então no firewall você já matou o msn. Deste jeito ele não conecta, você pode fazer o teste parando o squid e tentando fazer a conexão. Te garanto que não vai conectar.

Agora o proxima passo é o squid, quado o squid está rodando, o msn se conecta por ele. Se você monitorar o access.log do squid você vai ver que as máquinas estão se conectando.

Caro, basta você criar uma ACL negando a palavar "gateway.dll".
acl acesso_proibido url_regex -i src "/etc/squid/regras/acesso_proibido"

Então dentro do arquivo acesso_proibido você coloca a palavra "gateway.dll". Agora basta negar a ACL que você acabou de criar.

http_access deny acesso_proibido

Amigo, se você fizer esses passos, corto o meu saco se não funcionar.
kkkkkkkkkkkk

Então verifique as regras do teu firewall e crie essa ACL no squid que vai resolver o teu problema.

Abraços e qualquer coisa posta aí...

Amigo sera que teria como colocar o conjunto de regras
do iptables que vc usou,
Gostaria de testar para ver se funciona aqui .
valew cara. :good:

[wrochal]

Caros,

Definitivamente basta usar a seguinte regra no iptables:

$IPT -A FORWARD -d loginnet.passport.com -j DROP
$IPT -A FORWARD -p tcp --dport 1863 -j DROP

No caso do MSN, use acls dstdomain

acl msn dstdomain loginnet.passport.com
http_access deny msn

Sem Mais,

[Lincoln]

Caros,

Definitivamente basta usar a seguinte regra no iptables:

$IPT -A FORWARD -d loginnet.passport.com -j DROP
$IPT -A FORWARD -p tcp --dport 1863 -j DROP

No caso do MSN, use acls dstdomain

acl msn dstdomain loginnet.passport.com
http_access deny msn

Sem Mais,

Comigo num virou naum!
but, thanks by atencion!
:good:

[cristianff]

Lincoln

Vou posta o meu script, não inteiro, mas o que interessa pra você:

#!/bin/sh
#Carrega módulos de connection tracking
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp

#Define políticas de acesso padrão
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT

#Limpa regras e cadeias de usuário prévias
/sbin/iptables -X
/sbin/iptables -F
/sbin/iptables -t nat -F

#Habilita repasse de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward

#Define variáveis
##Interface externa
EXT_IF=eth0
##Interface Interna
INT_IF=eth1
#Rede interna
INT_NET=XXX.XXX.XXX.XXX
##IP externo
EXT_HOST=XXX.XXX.XXX.XXX

### Habilita comunicação interna entre processos locais
/sbin/iptables -A INPUT -i lo -j ACCEPT

### Habilita acesso pela rede interna a esse host
/sbin/iptables -A INPUT -i $INT_IF -j ACCEPT
/sbin/iptables -A FORWARD -i $INT_IF -j ACCEPT

### Habilita todas a conexões previamente aceitas (estados Estabelicida e Relacionada)
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53(tcp e udp)), Https(443), RECEITANET(3456,) CONECTIVIDADE SOCI
AL (2631)
/sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 20,21,22,25,53,110,443,2083,2631,3456 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p udp --dports 20,21,53,443 -j MASQUERADE

Como você pode ver, meu firewall é simples, ele libera acesso apenas para algumas portas e serviços, como você pode notar, a porte 1863 não é mascarada, então o msn não se conecta diretamente, assim como a porta 80 também não.

A navegação é feita através do proxy, sendo que lá no proxy você vai ter que fazer uma acl com url_regex da expressão gateway.dll

acl expressions_deny url_regex -i src "/etc/squid/regras/expressions_deny"

Onde dentro do arquivo expressions_deny eu tenho a expressão gateway.dll, lembrando que você tem que negar a acl acima.

http_access deny expressions_deny

É isso aí, não desista que você consegue.
Qualquer coisa posta aí, mas essa é uma solução simples para o bloqueio do msn, deixando o hotmail funcionando.

Abraços[size=9px][/size]

[1c3m4n]

ainda prefiro faze issu:
https://under-linux.org/modules.php?...ticle&sid=4799

[Lincoln]

Lincoln

Vou posta o meu script, não inteiro, mas o que interessa pra você:

#!/bin/sh
#Carrega módulos de connection tracking
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp

#Define políticas de acesso padrão
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT

#Limpa regras e cadeias de usuário prévias
/sbin/iptables -X
/sbin/iptables -F
/sbin/iptables -t nat -F

#Habilita repasse de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward

#Define variáveis
##Interface externa
EXT_IF=eth0
##Interface Interna
INT_IF=eth1
#Rede interna
INT_NET=XXX.XXX.XXX.XXX
##IP externo
EXT_HOST=XXX.XXX.XXX.XXX

### Habilita comunicação interna entre processos locais
/sbin/iptables -A INPUT -i lo -j ACCEPT

### Habilita acesso pela rede interna a esse host
/sbin/iptables -A INPUT -i $INT_IF -j ACCEPT
/sbin/iptables -A FORWARD -i $INT_IF -j ACCEPT

### Habilita todas a conexões previamente aceitas (estados Estabelicida e Relacionada)
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53(tcp e udp)), Https(443), RECEITANET(3456,) CONECTIVIDADE SOCI
AL (2631)
/sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 20,21,22,25,53,110,443,2083,2631,3456 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p udp --dports 20,21,53,443 -j MASQUERADE

Como você pode ver, meu firewall é simples, ele libera acesso apenas para algumas portas e serviços, como você pode notar, a porte 1863 não é mascarada, então o msn não se conecta diretamente, assim como a porta 80 também não.

A navegação é feita através do proxy, sendo que lá no proxy você vai ter que fazer uma acl com url_regex da expressão gateway.dll

acl expressions_deny url_regex -i src "/etc/squid/regras/expressions_deny"

Onde dentro do arquivo expressions_deny eu tenho a expressão gateway.dll, lembrando que você tem que negar a acl acima.

http_access deny expressions_deny

É isso aí, não desista que você consegue.
Qualquer coisa posta aí, mas essa é uma solução simples para o bloqueio do msn, deixando o hotmail funcionando.

Abraços[size=9px][/size]

Valew cara vo testa ja,
ja ja eu posto!

[Luizim]

Cara, sou bolsista da faculdade. Como só tenho iptables no servidor (não tenho squid), então fiz o brute force. Pelo menos funcionou, tente isso.

Bloqueie as seguintes faixas de IP:

207.49.1.21 - 207.49.1.199
207.49.2.21 - 207.49.2.199
207.49.3.21 - 207.49.3.199
207.49.4.21 - 207.49.4.199
207.49.5.21 - 207.49.5.199
207.49.6.21 - 207.49.6.199
207.49.7.21 - 207.49.7.199

207.46.1.1 - 207.46.1.199
207.46.2.1 - 207.46.2.199
207.46.3.1 - 207.46.3.199
207.46.4.1 - 207.46.4.199
207.46.5.1 - 207.46.5.199
207.46.6.1 - 207.46.6.199
207.46.7.1 - 207.46.7.199

Não é possível que não funcione... pelo menos lá ninguém mais tá usando! Depois recomendo que você bloqueie portas como: 8080, 1080, 3128, 50050 pra evitar que usem proxy no MSN pra conectar.

[vilao]

tomara que na sua rede nao tenha ninguem que use HOTMAIL...porque ai o berreiro vai pegar!!!!!

Foi o meu problema aqui.

E a minha solução foi baixar a versão nova do IPTABLES que tem filtro por palavra.

iptables -A FORWARD -m string --string "msn." -j DROP

se quiser usar uma solução pré-historica mais que funciona..bloqueia toda a rede 207.46.0.0